Андрагогика Bloom: Analyze ⏱ 9 мин governance факты с датой

EU AI Act за 5 минут vs NIST RMF: закон с зубами и добровольный гайд

🧊 Won't Have 💧 Could Have ☀️ Should Have 🔥 Must Have

💧 Could Have

Не обязательная к линейному прохождению, но полезная карта местности: что из регуляторики реально про тебя, а что — фоновый шум новостей.

🤔 Зачем это читать

Лента подсовывает заголовок: «За нарушение AI-закона ЕС — штрафы до 7% мирового оборота». Кто-то на планёрке пересылает его в общий чат с подписью «это нас тоже касается?». И теперь у тебя в голове неприятный фон: вроде надо что-то делать, а что именно — непонятно. Юрист пожимает плечами, подрядчик пугает, а решать опять тебе.

Проблема не в том, что регуляторика сложная. Проблема в том, что её подают как сплошную стену угроз, и из этой стены невозможно вытащить простой ответ на простой вопрос: что из этого реально про мою компанию, а что — про кого-то другого, и с чего вообще начать. В итоге одни паникуют и тормозят полезные проекты «на всякий случай», другие отмахиваются «это для Европы» — и оба могут промахнуться.

А ориентиров, если разобраться, всего два, и они очень разные по характеру. Один — настоящий закон с реальными штрафами (EU AI Act — закон ЕС об AI). Второй — добровольная методичка, как навести у себя порядок (NIST AI RMF — рамка управления рисками AI из США). Перепутать их легко, а цена путаницы — либо лишняя паника, либо пропущенный риск.

После этой темы ты сможешь с одного взгляда отличить: вот это — обязаловка, которая уже действует прямо сейчас; вот это — отложено и пока спорное; а вот это — вообще добровольный гайд, который никто не заставляет, но взять оттуда чек-лист умно. И главное — прикинуть, что из этого касается именно тебя.

Задержись на 10 секунд. Вспомни последний раз, когда при тебе обсуждали «AI-регуляцию» или «штрафы за AI». Что именно говорили — и от чего отталкивались: от реального текста закона или от пересланного заголовка? Держи эту сцену в голове: к концу страницы ты сам прикинешь, паника там была обоснованной или нет.

🍽 Лицензия СЭС против методички «как держать кухню в порядке»

Представь две совершенно разные бумаги на стене твоего ресторана. Первая — лицензия и санитарные нормы: их выдаёт государство, проверяет инспектор, и за грязную кухню тебя штрафуют или закрывают. Хочешь ты или нет — это закон, его соблюдают все, кто работает на этой территории. Вторая — толковая методичка «как держать кухню в порядке»: её написали умные люди, в ней разумные советы про мытьё рук и хранение продуктов, но никто не придёт с проверкой, если ты её не открывал. Хочешь — бери и наводи порядок по ней, не хочешь — твоё дело.

Вот это и есть два наших ориентира, один в один. EU AI Act — это санитарные нормы и лицензия: закон ЕС, обязательный, с инспектором и штрафами. NIST AI RMF — это та самая методичка: добровольный гайд из США, как самому выстроить контроль качества и рисков. Оба про «безопасную кухню», но один заставляет, а второй советует. Спутать их — как принять рекомендацию шеф-повара за предписание пожарного: и расслабишься не там, и испугаешься не того.

Два ориентира — разные по характеру

🚨

EU AI Act

закон ЕС · обязательно

Закон с реальными штрафами
Подход «по уровню риска»
Часть уже действует, часть отложена
Касается работающих на рынок ЕС

📋

NIST AI RMF

рамка США · добровольно

Методичка, не закон, без штрафов
4 функции: Govern · Map · Measure · Manage
Бери как чек-лист зрелости
Касается всех, кто хочет порядка

Главное различие: один заставляет (нарушил — штраф), второй советует (взял — навёл порядок). Путать их — дорого в обе стороны.

🚨 EU AI Act: закон по уровню риска

Самая важная идея закона ЕС — он регулирует не «AI вообще», а по уровню риска. Логика ровно санитарная: чем опаснее то, что ты готовишь, тем строже к тебе требования. Четыре корзины, от самой жёсткой к самой свободной:

Запрещённые практики (unacceptable risk). Это «нельзя готовить в принципе»: например, оценка людей по поведению в стиле социального рейтинга или скрытая манипуляция. Просто вне закона.
Высокий риск (high-risk — высокий риск). «Готовить можно, но под строгим контролем»: AI в найме и отборе людей, в доступе к важным услугам, в критической инфраструктуре, в образовании. Тут закон требует особых обязательств — в том числе обязательного человека в контуре (про это у нас была отдельная тема — 11.8 — Человек в петле).
Ограниченный риск. «Готовить можно, но честно предупреди гостя»: например, человек должен понимать, что говорит с ботом, а не с живым сотрудником.
Минимальный риск. Всё остальное — основная масса обычных AI-применений. Тут закон по сути не вмешивается.

Теперь — что из этого уже действует, а что отложено, потому что именно тут вся путаница. И сразу честная оговорка: на момент весны 2026 таймлайн закона «поплыл» — часть дат пересматривают прямо сейчас.

EU AI Act: что уже в силе, а что ещё впереди

фев 2025

Запреты + AI literacy уже действует

Запрещённые практики — вне закона. И компании обязаны обеспечить базовую AI-грамотность сотрудников (AI literacy — грамотность сотрудников в работе с AI). Это уже в силе и отсрочка сюда не относится.

авг 2025

Правила для базовых моделей + штрафы уже действует

Обязательства для универсальных моделей общего назначения и механизм штрафов включены.

~дек 2027
~авг 2028

Требования к high-risk согласовано, не принято

Основные обязательства к системам высокого риска. Сроки сдвинули: на момент весны 2026 отсрочка до этих дат политически согласована, но формально ещё не принята — процесс идёт.

Запомни главное: «отложено» относится к требованиям high-risk, а не к запретам и AI literacy — те работают уже сейчас.

И про зубы закона — то самое из заголовков. Штрафы привязаны к мировому годовому обороту, и берётся большее из двух чисел. За запрещённые практики — до 35 млн € или 7% оборота. За прочие нарушения обязательств — до 15 млн € или 3%. За недостоверную информацию регулятору — до 7.5 млн € или 1%. Процент от оборота — это и есть «зубы»: для крупного бизнеса 7% страшнее любой фиксированной суммы, поэтому корпорации и ритейл, работающие на ЕС, игнорировать это не могут.

📋 NIST AI RMF: добровольная рамка «как навести порядок»

Теперь вторая бумага — и она совсем другого жанра. NIST AI RMF — это не закон. Это рамка из США (NIST — американский институт стандартов), и ключевое слово в ней — добровольная. Никаких штрафов, никакого инспектора. Это методичка: как самому организовать управление рисками AI у себя в компании, чтобы не наступить на грабли.

Вся рамка держится на четырёх функциях — по сути это четыре вопроса, которые ты задаёшь про любую AI-систему. Запомнить их легко через кухню:

Govern (управляй) — кто на кухне за качество отвечает, по каким правилам. Сквозная функция, держит остальные три.
Map (разметь) — что мы вообще готовим и где тут можно обжечься: какие риски в нашем конкретном случае.
Measure (измерь) — пробуем на вкус и замеряем: насколько система точна, безопасна, где ошибается.
Manage (управляй рисками) — что делаем с найденным: какие риски тушим в первую очередь, что терпит.

Отдельно стоит знать: к этой рамке есть профиль для генеративного AI (Generative AI Profile) — приложение специально про риски нейросетей, которые генерируют тексты и картинки. Если ты уже прошёл темы про оценку и наблюдаемость (11.2 — Оценка vs тестирование, 11.1 — Наблюдаемость) — заметишь, что NIST по сути формализует ровно те же привычки: дегустируй перед подачей, держи камеры на кухне.

Зачем тебе добровольная рамка, если она ничего не требует? Затем, что это готовый чек-лист зрелости. Не надо изобретать «как нам управлять AI-рисками» с нуля — четыре функции уже дают структуру разговора с командой и подрядчиком. А если завтра придёт обязательный регулятор, окажется, что половину домашней работы ты уже сделал.

🧭 Что из этого касается тебя (трезвый угол)

Самое практичное. Большинство читателей этого курса — не в юрисдикции ЕС. Значит ли это, что EU AI Act можно выкинуть из головы? Нет, и вот трезвая раскладка без крайностей.

Прямого действия на компанию вне ЕС у закона нет. Если ты не предлагаешь свои AI-системы на рынок ЕС и не обслуживаешь там пользователей — инспектор из Брюсселя к тебе не придёт, и 7% оборота тебе не грозят. Паниковать из-за заголовка не нужно.

Но он становится твоим, как только появляются EU-клиенты или EU-рынок. Делаешь AI-фичу для клиента из Европы, выходишь на тот рынок, встраиваешься в цепочку чужого продукта для ЕС — и правила игры уже не твои локальные. Тогда уровень риска твоей системы и сроки high-risk перестают быть абстракцией.

И независимо от юрисдикции EU AI Act полезен как ориентир «куда дует ветер»: подход «по уровню риска», требование человека в контуре для важных решений, прозрачность «гость должен знать, что говорит с ботом» — это разумные принципы, которые завтра подхватят и другие регуляторы. А NIST AI RMF забирай уже сейчас без всяких условий: добровольную методичку никто не запрещает применять где угодно, и она бесплатно даёт тебе структуру порядка.

🎮 Закон или гайд: разнеси по полкам

Прежде чем жать — реши сам, а потом сверься. Тут важнее не угадать, а поймать, где ты путаешь «обязательно прямо сейчас» с «отложено» и «закон» с «добровольным советом».

Полок три: 🚨 обязательно прямо сейчас (закон уже действует), ⏳ отложено и пока спорно (закон, но в силу ещё не вступил) и 📋 добровольный гайд (NIST, никто не заставляет). Шесть утверждений про регуляторику — для каждого выбери, к какой полке оно относится. Жми кнопку — сразу увидишь разбор. Это не экзамен, а тренировка того самого взгляда, что отличает реальную обязаловку от фонового шума.

📖 Ключевые понятия

EU AI Act (закон ЕС об AI): Обязательный закон Евросоюза, регулирующий AI по уровню риска: запрещённые практики, высокий риск, ограниченный, минимальный. С реальными штрафами до 35 млн € или 7% мирового оборота. Запреты и AI literacy уже действуют (с февраля 2025); требования к high-risk сдвинуты — на момент весны 2026 отсрочка до ~дек 2027 / авг 2028 согласована, но формально не принята.
NIST AI RMF (рамка управления рисками AI, США): Добровольная методичка из США, как организовать управление рисками AI. Не закон, без штрафов. Держится на четырёх функциях: Govern, Map, Measure, Manage. Есть отдельный профиль под генеративный AI. Берут как готовый чек-лист зрелости.
High-risk (высокий риск): Категория EU AI Act для AI в чувствительных областях — найм, доступ к услугам, критическая инфраструктура, образование. Не запрещено, но под строгими обязательствами, включая обязательного человека в контуре. Именно к этой категории относится отложенный срок.
AI literacy (AI-грамотность сотрудников): Требование EU AI Act: компания обязана обеспечить базовое понимание AI у сотрудников, которые с ним работают. Действует уже сейчас и отсрочка high-risk его не трогает.
Governance (управление рисками и правилами): Общее название для того, как в компании выстроены правила, ответственность и контроль над AI. EU AI Act задаёт governance силой закона; NIST AI RMF предлагает его добровольно, как структуру.

🛡️ Частые заблуждения

«EU AI Act — это для Европы, нас вообще не касается»

Полуправда, и опасная. Прямого действия на компанию вне ЕС нет — это так. Но он становится твоим в тот момент, когда появляются клиенты из ЕС, выход на тот рынок или встраивание в чужой продукт для Европы. А как ориентир «куда движется регуляторика» он полезен всем.

«Раз high-risk отложили до 2027–2028, можно про весь закон забыть до тех пор»

Нет. Отложены требования к системам высокого риска — и то на момент весны 2026 эта отсрочка ещё не принята формально. А запреты и AI literacy работают уже с февраля 2025 и никакой отсрочки не касаются. «Отложено» и «можно не думать» — разные вещи.

«NIST AI RMF — тоже закон, просто американский, за него тоже штрафуют»

Нет. NIST AI RMF — добровольная рамка, не закон. Штрафов и инспекторов за неё не существует. Это методичка, которую берут по своей воле. Путать её с EU AI Act — значит либо бояться того, что не обязательно, либо игнорировать то, что обязательно.

🧠 AI-чутьё (AI Judgment)

Что из регуляторики реально про тебя — и с чего начать

Навык этой темы — не выучить закон наизусть (для этого есть юристы), а не дать заголовку управлять твоими решениями. Когда в чат прилетает очередное «штрафы за AI до 7%», прогони его через три быстрых вопроса: это закон или добровольный гайд? это уже действует или отложено (и принято ли отложение)? это вообще про мою юрисдикцию и моих клиентов? Три вопроса — и паника либо подтвердилась, либо растаяла.

Практический ориентир без крайностей. Если ты вне ЕС и без EU-клиентов — EU AI Act прямо тебя не обязывает, но держи его как карту, куда дует ветер. Если EU-клиенты есть или планируются — уровень риска твоих AI-систем и сроки high-risk надо считать всерьёз, тут уже зовут юриста. А NIST AI RMF бери в работу в любом случае: добровольную методичку никто не запрещает, и четыре её функции — бесплатная структура порядка.

И вот мостик ко всему модулю. Помни про центральный нерв курса: лишь около 5% корпоративных AI-проектов доходят до измеримого результата (те самые «95% пилотов, что проваливаются»), и тонут они почти всегда не в модели, а во внедрении — в интеграции, чистых данных, встроенности в рабочий поток. Governance (управление: кто за что отвечает, по каким правилам, кто контролирует) — часть этого внедрения, а не отдельная бюрократия поверх. Компания, которая заранее знает, что у неё закон, а что добровольный гайд, и где её настоящий уровень риска, просто меньше спотыкается на пути от красивого пилота к работающему процессу.

🎯 Практика

Одно задание на десять минут, чтобы регуляторика стала твоей картой, а не чужим страхом.

Ответь честно на три вопроса про свою компанию: есть ли у вас клиенты или рынок в ЕС (сейчас или в планах)? используете ли AI там, где цена ошибки для человека высока — найм, доступ к услугам, важные решения? обеспечена ли у вас хоть какая-то базовая AI-грамотность сотрудников?
По ответам прикинь свою позицию: EU AI Act для тебя — прямая обязанность, будущий риск при выходе на ЕС или пока только ориентир? Запиши одной фразой, чтобы было что сказать на планёрке вместо пересланного заголовка.
Возьми четыре функции NIST (Govern — управляй, Map — разметь, Measure — измерь, Manage — управляй рисками) и приложи к одному вашему AI-применению: кто за него отвечает, какие риски видны, как вы их меряете, что с ними делаете. Где пусто — там ваша зона роста, и это бесплатный аудит.
Загляни в свою заметку из начала — ту сцену, где обсуждали «AI-регуляцию». Паника там была обоснованной по твоим трём вопросам или это был фоновый шум?

Этот листок — уже готовый ответ на «а нас это касается?»: не «давайте на всякий случай всё затормозим» и не «забейте, это для Европы», а «вот тут обязаловка уже сейчас, тут риск при выходе на ЕС, а вот это добровольный гайд, который мы возьмём сами». Так звучит владелец, который понимает свою кухню и её правила.

🔗 Что дальше

Связанные темы (этот модуль про бизнес):

12.1 — Почему 95% пилотов проваливаются — центральный кейс модуля: почему провал почти всегда во внедрении, а не в модели. Governance из этой темы — часть того самого внедрения.
12.2 — Agent washing: как читать обещания вендоров — почему ярлык «агент» ещё ничего не гарантирует и что требовать от подрядчика вместо лейбла.
12.3 — Цена ошибки: пирог vs торговая сделка — как взвешивать риск AI-решения по цене промаха; тот же подход «по уровню риска», только в деньгах.

Опора под этой темой (уже доступно):

11.8 — Человек в петле (human-in-the-loop) — почему high-risk требует именно человека в контуре, и как это устроить технически.
11.9 — Демо не равно прод — где красивый пилот спотыкается на пути в реальную работу; governance — одна из таких ступенек.
1.8 — Когда агент НЕ нужен — матрица «ценность × риск»: тот же трезвый подход «сначала оцени риск», только на уровне выбора задачи.